Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 6/11/2003
E-mail-systemer, der tilbyder kryptering og digital signering ud fra S/MIME-standarden, kan være ramt af en nyopdaget sårbarhed. Den kan medføre, at et system går ned.Mange e-mail-programmer følger S/MIME-standarden (Secure Multipurpose Internet Mail Extensions). Den angiver, hvordan meddelelser, der er krypteret eller signeret ved hjælp af en digital signatur, kan sendes som e-mail. Meddelelserne sendes med en kodning, der kaldes ASN.1 (Abstract Syntax Notation 1). Det er i denne kodningsform, at sårbarheden ligger. Den ligger også til grund for de tidligere opdagede sårbarheder i blandt andet SNMP-protokollen (Simple Network Management Protocol).
Det engelske NISCC (National Infrastructure Security Co-ordination Centre) har opdaget sårbarheden. Test af en række S/MIME-produkter viser, at sårbarheden i nogle tilfælde kan få et program til at gå ned. Teoretisk set kan det også være muligt at udnytte sårbarheden til at få kontrol over systemet, men det er ikke bevist.
En lang række leverandører af S/MIME-kompatible produkter er i færd med at undersøge, om deres produkter er sårbare. Microsoft har endnu ikke meldt tilbage. For et år siden blev der opdaget en anden S/MIME-relateret sårbarhed i firmaets mail-program Outlook Express.
Sårbarheden kan både ramme server- og klient-programmer.